Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10012 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Design Questions

PSyc
Hi all,

I've some questions regarding SSL VPN because we want implement these VPN technique in fact of SSL is nearly allowed in each network.

In fact of security requirements we want that the whole SSL VPN is couldn't connect to each other (SSL Client to SSL Client), have only restricted access to the internal network and must use the webproxy with user authentication for surfing the web.

I've done some tests with a test account, had used in SSL configuration under local networks , NAT from VPN Pool to internal, automatic packet filter disabeld and webproxy on port 8080 enabled but however I had whole access to my internal and external network in fact of packet filter rules where not set or not set to allowed.


In fact of I'm not familiar with VPNs please be patient with me and try to solve my issue [:)] .. 


cheers

Psyc


This thread was automatically locked due to age.
Parents
  • 0
    however I had whole access to my internal and external network


    Do you mean HTTP via the proxy, or all services?

    Barry
  • 0 in reply to BarryG
    To my internal network I had access to all services .. I guess I inarticulate .. to external I had only access via web proxy on http service.. 


    cheers
  • 0 in reply to PSyc
    Alex,

    I tried the settings you suggested my Internet traffic is still not being redirected through the ASG and I have lost ability to connect to my local network. What am I missing?

    Thanks
    Ralph
  • 0 in reply to PSyc
    In another thread today, Gert Hansen explained the reason the masquerade to Internal works for you; your packets were reaching their targets inside 'Internal (Network)', but the responses had no route back to the VPN.

    In your 'Internal (Network)', the gateway for the computers is not the Astaro's 'Internal (Address)'.

    You can fix that by changing the DHCP configuration to assign the IP of 'Internal (Address)' as the gateway.  Or you can add a route in the PCs you want to communicate with: route 10.12.242.0/24 to the IP of 'Internal (Address)'.  Of course, your masquerading trick also works.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,

    With the configuration Alex suggested my internal network is NOT working. It was working when I set it up as in the video tutorial. I'm trying to get ALL remote traffic going through the ASG. When set up as in the video the internal traffic goes through the ASG but not Internet bound traffic. I was hoping these settings would force all my traffic through the ASG but instead it blocks my internal traffic and the Internet traffic is still going out, but not being sent through the ASG.

    Thanks
    Ralph
  • 0 in reply to qhplar
    Go back to the setup as in the Video tutorial.

    In 'Remote Access >> SSL' on the 'Global' tab, for 'Local Networks', put 'Any' instead of 'Internal (Network)' and the Astaro will build the routes and Packet Filter rules.

    In the HTTP/S Proxy, add 'VPN Pool (SSL)' to 'Allowed Networks'.

    In 'Network Security >> NAT', add a masquerading rule like Psyc did: 'VPN Pool (SLS)' to 'External'.

    Let us know if that does it for you.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ralph

    I guess you've done somewhere a mistake [;)] .. I know what I'm talking *loud laugh* .. anyway, what I can recommend is that you draw your network .. 

    However, as Bob mentioned please check if you've added Any to Local Networks in Remote Access configuration. Please also check that you've not selected Automatic Packetfilter ..

    What is the IP range from your SSL VPN Pool?

    cheers

    alex
  • 0 in reply to PSyc
    Ok I changed the settings back to what they were in the video and got local working again. I then made only the changes in Bob's post and now it's working correctly. I didn't do the SSL VPN Pool=>Internal but I have access to internal resources. Do I need that?

    I installed the VPN client on a clean machine I wonder if that made a difference. What changes in my VPN settings on the ASG would require updates on the client?

    Thanks PSyc and Bob!!

    Ralph
  • 0 in reply to qhplar
    Ralph, whether you set the masq for SSL to External depends on what you want.  If you want remote users to have their surfing pass through the VPN and Astaro web security, you need all of the things I mentioned.

    If the only traffic you want in the tunnel is that bound for your internal network, then put "Internal (Network)" in 'Local Networks' and don't bother with the addition to the HTTP/S Proxy (unless they are accessing a local webserver) or the masq rule.

    The first solution is the more secure and is what I would recommend as long as you don't have limited uplink speed because of DSL.  The second solution (a "split tunnel") can work where you have DSL and confidence in all of the remote users that they won't disable their local anti-virus and that they are carefull about files they open, sites they visit and emails they read.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,

    I want to leave the External in there my question is to I need to add the Internal masq alo like Alex suggested? It seems to be working fine with only the External masq.

    Thanks
    Ralph
  • 0 in reply to qhplar
    The reason he had to add the Internal masq was because the devices in his internal network didn't have the IP of 'Internal (Address)' assigned as their gateway.

    That meant that those devices had no route back through the VPN to respond to requests.

    After he created the masq, his requests appeared to come from 'Internal (Address)' instead of a VPN IP.  Now, since 'Internal (Address)' was in the same subnet with the target of the request, the target had a route back to 'Internal (Address)', and the Astaro knew how to send the response to the requestor.

    From your initial description, it's clear that your internal devices have the IP of 'Internal (Address)' as gateway, so you don't need to solve the routing problem that Alex has.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks Bob that was a great explanation. You're right so I don't need that Interanl masq.

    Thanks
    Ralph
Reply Children
No Data
Cookie Information Banner